playsoso's recent timeline updates playsoso's recent timeline updates |
playsosoV2EX member #70331, joined on 2014-08-09 00:21:49 +08:00 |
playsoso's recent replies
Jun 23, 2016 Replied to a topic by guyskk › Python › 设计无状态验证码,大家看下是否可行,有没有什么漏洞? |
@playsoso 因为涉及到重放攻击,而且验证码有状态 服务端需要记录是否发放过验证码 和 验证码是否已验证过,所以还是需要依赖服务端 状态保存
Jun 23, 2016 Replied to a topic by guyskk › Python › 设计无状态验证码,大家看下是否可行,有没有什么漏洞? |
我觉得可以使用 jwe 方案 ,也就是 jwt 其中客户端内容加密过 , 请求验证码同时 发放 token , 提交验证码时携带 token
通过 token 里 签发时间和过期时间来判断是否有效 , token 内容与验证码结果做比对
通过 token 里 签发时间和过期时间来判断是否有效 , token 内容与验证码结果做比对
Select Language